"El conocimiento es libre, pero no se regala sino que uno se lo gana"

martes, 24 de abril de 2012

PHISHING, una estafa por correo electrónico

Phishing

A día de hoy, todavía son muchas las personas que son pescadas mediante técnicas de phishing por correo electrónico. Sin duda es un grave problema que coge desprevenidos a aquellos usuarios que no han oído hablar sobre esto. Las medidas de seguridad hasta ahora eran, a todas luces, insuficientes.

DEFINICIÓN DEL PHISHING
El phishing es una técnica de engaño derivado del scam creado por hackers malintencionados, con el objetivo de obtener información importante como números de tarjetas de crédito, claves, datos de cuentas bancarias, etc. El objetivo más común, suele ser la obtención de dinero del usuario que cae en la trampa.

Por lo general, el engaño se basa en la ignorancia del usuario al ingresar a un sitio que presume legal o auténtico.

HISTORIA DEL PHISHING
El término phishing fue creado a mediados de los años 90 por los crackers que procuraban robar las cuentas de AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial.

El mensaje pediría que la víctima revelara su contraseña, con variadas excusas como la verificación de la cuenta o confirmación de la información de la facturación. Una vez que la víctima entregara la contraseña, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como Spamming.

Hay también una red irlandesa del IRC llamada Phishy, aunque más antigua del uso de ese término para cualquier cosa ilegal.

FUNCIONAMIENTO DEL PHISHING
En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito.

Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.

Para que estos mensajes parezcan aún más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.

TIPOS DE PHISHING
Las maneras más comunes por las cuales el estafador o phisher intenta realizar su cometido, es a través del correo electrónico y las llamadas telefónicas.

Cuando el "phisher" utiliza el método de correo electrónico, lo que hace es enviar un e-mail que supuestamente es de una entidad financiera (o similar), comúnmente bancos, aunque el phishing puede utilizarse no solo para obtener información bancaria, sino cualquier otro tipo.

El phisher comienza realizando lo que se conoce como Fake o Fake-Mailer que consiste en enviar un correo electrónico falsificando su remitente, empleado programas como FakeMailer, GhostMail o programación. También el estafador podría reforzar la credibilidad de su fraude mediante llamadas telefónicas donde toma la identidad de algún empleado de la compañía con el fin de obtener más datos.

A medida que los teléfonos celulares son mejorados, siendo cada vez más complejos y potentes (convirtiéndose prácticamente en minicomputadoras), las amenazas a su seguridad comienzan a aumentar. El avance de la tecnología nos puede resultar beneficiosos, pero también hacerles las cosas más fáciles a los piratas informáticos, cuya finalidad es la de vulnerar dispositivos para conseguir dinero.

El Smishing es una variante del Phishing pero con el uso de SMS. Son mensajes de texto cuya actividad criminal es la de obtener, mediante engaños a los usuarios de telefonía móvil, información privada o suscripciones falsas online y ofertas de trabajo en sitios web, para luego introducir spyware o programas con intenciones maliciosas sin el consentimiento del usuario.

El Vishing es otra variedad del Phishing pero con teléfono. Consiste en el envío de un correo electrónico en el cual los delincuentes consiguen detalles de datos bancarios mediante un número telefónico gratuito, en la cual una voz computarizada de aspecto profesional, les requiere a las víctimas la confirmación de su cuenta bancaria, solicitándoles el número de cuenta, tarjeta, PIN, etc. Es recomendable ante estas amenazas sospechar de cualquier contacto, ya sea telefónico o vía correo electrónico, en el cual estén solicitando facilitar cualquier información financiera, claves o datos sensibles de usted.

EJEMPLO DE PHISHING TELEFÓNICO Y POR E-MAIL
Una persona supuestamente de una compañía de encuestas llama a nuestro teléfono, entre las preguntas que nos realiza es si trabajamos, en que empresa o de qué rubro, si utilizamos servicio de tarjeta de crédito para nuestras compras, nuestro nombre, el banco con el cual operamos. Podría ser una encuesta sobre qué tarjetas de crédito son más utilizadas por ejemplo.

Con un poco de habilidad, el estafador puede "camuflar" estas preguntas mientras habla con nosotros, y obtener nuestro nombre y el banco con el cual operamos. Hasta aquí parecieran datos aislados. Luego el phisher (el estafador) confecciona un "Fake Mail" donde utiliza como remitente una dirección del banco con el cual operamos, la cual obtiene de la página del propio banco. Cabe aclarar que la técnica de "Fake Mailer" permite crear remitentes con direcciones tanto existente como no, o una combinación, es decir, se toma un dominio existente, como ser nombredelbanco.com y se agrega un usuario inexistente, de esta manera el phisher arma una dirección del siguiente tipo: identidad_falsa@nombredelbanco.com.

Con esto ya el phisher construye un e-mail donde el remitente será, en apariencia, el banco. Luego el estafador pasará a construir un sitio web que contendrá un logo y un diseño similar al del sitio web oficial del banco.

Con el remitente y las páginas web falsas, el phisher envía el e-mail, donde supuestamente es un empleado del banco que por motivos de seguridad, o validación de datos, nos invitará a que naveguemos hacia el link que él colocó en el e-mail y que obviamente nos llevará a la falsa página web.

Una vez que hacemos clic en el link que nos envía el estafador, se nos pedirá que coloquemos nuestra identificación dentro del banco, nuestra contraseña de operaciones en internet, en cajero automático, etc.

Ya con estos datos el phisher podrá comprar por Internet con nuestra tarjeta, realizar transferencias bancarias desde nuestra cuenta y, en el caso de los bancos que brindan el servicio de poder extraer dinero del cajero automático sin utilizar tarjeta, también podrá extraer nuestro dinero a través de este medio.

Aunque no lo parezca, cuesta darse cuenta que a uno le están realizando phishing, esto es principalmente porque por medio de la “Ingeniería Social” nos preguntan datos que aparentemente son inofensivos o sueltos, pero que luego el phisher sabrá relacionar para realizar su estafa.

IMÁGENES DE EJEMPLO DE ESTAFA MEDIANTE PHISHING

phishing-estafa-msn

phishing-estafa

SPAMMING Y PHISHING
Muchas veces no es necesario que los phishers pregunten algún dato a través del teléfono, de hecho, ni siquiera podrían saber quiénes caerán en su trampa, pues juntan las técnicas de spamming con las de phishing.

Un phisher puede enviar un e-mail genérico de una entidad financiera a millones de personas (como un spam), esperando que haya cientos o miles de clientes de esa entidad dentro de las cuentas de e-mail afectadas. Con un par de personas que caigan en la trampa podrían obtener mucho dinero.

RECOMENDACIONES PARA EVITAR EL PHISHING
-Nunca respondas a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje.
-Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. ¡Cuidado con escribirlas mal!
-Siempre usar un antivirus (recomiendo Avast!) y un navegador anti-phishing (recomiendo Google Chrome).
-Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
-Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
-Por otro lado, si ha recibido este correo, y ha introducido su nombre de usuario y contraseña, modifique lo antes posible su contraseña de Hotmail, y las de todos aquellos servicios en los que utilizase la misma contraseña. Recuerde, que es muy importante gestionar de forma segura las contraseñas de acceso a los distintos servicios de Internet para evitar riesgos.
-Nunca olvidar que, aunque el mensaje sea de un remitente conocido, puede ser un correo phishing. Esto se debe a que actualmente muchas amenazas informáticas.
-Toda transacción bancaria hacerla de manera segura, siempre en un lugar confiable (no en cabinas de internet).
-Usar el protocolo HTTPS cuando se le pida algún dato confidencial en la Internet, así como claves de correo, datos bancarios, etc.

HTTPS Chrome

HTTPS Firefox

HTTPS IE9

HTTPS Opera

HTTPS Safari

Artículos relacionados



No hay comentarios:

Publicar un comentario

Comentar es agradecer.